Bijlage 2 Beveiligingsplan. Informatiebeveiliging



Vergelijkbare documenten
AB: Ja Opdrachtgever: Klaas de Veen

Plan van aanpak Privacy

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Informatiebeveiligingsbeleid

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Raadsmededeling - Openbaar

Procedure meldplicht datalekken

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Datalek dichten en voorkomen. 21 april 2017

A2 PROCEDURE MELDEN DATALEKKEN

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Meldplicht datalekken

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De onderwerpen waartoe de raad in de periode verschillende producten en adviezen voor zal ontwikkelen, zijn:

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Privacybeleid gemeente Wierden

Stappenplan naar GDPR compliance

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Plan

Stappenplan naar GDPR compliance

Procedure datalekken NoorderBasis

Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Protocol Meldplicht datalekken

Informatiebeveiligingsbeleid extern

Bijlage 2: Communicatie beveiligingsincidenten

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Privacy & online. 9iC9I

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Protocol informatiebeveiligingsincidenten en datalekken

Privacywetgeving: AVG /GDPR. Wat betekent dat voor u?

Privacy in de afvalbranche

Checklist Beveiliging Persoonsgegevens

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

informatiebeveiliging

ECIB/U Lbr. 17/010

Privacy Impact Assessment (PIA) Wetsvoorstel gegevensverwerking en meldplicht cybersecurity

Jaarrapportage gegevensbescherming

Jaarrapportage gegevensbescherming

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Protocol meldplicht datalekken

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

Quick scan Informatiebeveiliging gemeente Zoetermeer

Protocol informatiebeveiligingsincidenten en datalekken

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Een praktische oplossing voor uw meldplicht datalekken

De grootste veranderingen in hoofdlijnen

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen?

Meldplicht Datalekken CBP RICHTSNOEREN

Datalekken (en privacy!)

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Privacyverklaring voor opdrachtgevers

Privacybeleid. Vastgesteld door burgemeester en wethouders op 18 april Bekendgemaakt op 4 mei 2017 IO

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Wat heb je nodig op 25 mei?

Privacy protocol SVHW en <Deelnemer>

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Information Security Management System ISMS ISO / NEN 7510

Examenmatrijs examenproject

Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo

PROCEDURE MELDPLICHT DATALEKKEN

Informatiebeveiligingsplan

Protocol informatiebeveiligingsincidenten en datalekken

Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Informatiebeveiligingsbeleid

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Strategisch beleid Informatieveiligheid & Privacy

De impact van Cybercrime & GDPR

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Bestuurlijke Netwerkkaarten Crisisbeheersing

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Beleid en procedures meldpunt datalekken

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Wat moet je weten over... privacy en passend onderwijs?

Privacyreglement Medewerkers Welzijn Stede Broec

Definitieve bevindingen Rijnland ziekenhuis

Transcriptie:

Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal strategische onderdelen van informatiebeveiliging. De organisatie van informatiebeveiliging, waaronder verantwoordelijkheden, taken en bevoegdheden zijn door het dagelijks bestuur vastgesteld. Ook zijn de verantwoordelijkheden op het gebied van informatiebeveiliging toegewezen. Toegezegd is om de resterende onderdelen van het strategisch informatiebeleid c.q het beveiligingsplan in een later stadium ter vaststelling voor te leggen. Deze onderdelen liggen thans voor. De rolverdeling zoals deze door het dagelijks bestuur is vastgesteld ziet er schematisch als volgt uit: 1

Calamiteitenplan ICT en privacy Om adequaat te kunnen reageren op een incident met een grote impact, is het belangrijk een team van experts bij elkaar te kunnen krijgen. Dit team kan door zijn expertise reageren op verschillende incidenten rondom informatieveiligheid, zoals een privacy-incident of een ICT-incident. De ICTincidenten kunnen uiteenlopen van een datalek tot een virusuitbraak. Bij het verlies van hardware (apparatuur zoals Ipad/USB met bedrijfsgegevens) of documenten geldt het Incident Response Team van ICT-incidenten. Wanneer een incident van dusdanige grootte is dat het imagoschade en bedrijfsschade kan veroorzaken wordt opgeschaald op het niveau van dijkgraaf en secretarisdirecteur. Bij incidenten wat een openbaar karakter heeft wordt het team communicatie bijgeschakeld. De verschillende soorten incidenten hebben elk een eigen voorzitter, maar de basis van deelnemers aan het Incident Response Team verandert niet. De officiële naam voor een Incident Response Team is een CERT (Computer Emergency Response Team). In Nederland was één grote CERT voor de overheid, genaamd GOVCERT. De GOVCERT is nu overgegaan in het NCSC (National Cyber and Security Center). De standaard bezetting van het Incident Response Team is de CISO, CSO, Systeembeheer, Functioneel Beheerders (afhankelijk van incident en betrokken applicatie), de FG (bij privacy incidenten) en de CIO (afdelingshoofd PFCI), afhankelijk van het soort incident. Bij een ICT-incident is het teamhoofd ICT de voorzitter, bij een Privacy Incident is de CIO de voorzitter en bij het verlies van Hardware of documenten het teamhoofd ICT of de secretaris-directeur bij een escalatie. In twee schema s is de bezetting van een crisisteam uitgewerkt. De opzet en werkwijze is overeenkomstig onze calamiteitenorganisatie hoog water georganiseerd. 2

In november en december 2015 is een test uitgevoerd met het ICT calamiteitenplan. In deze maanden is de organisatie op de hoogte gesteld van het calamiteitenplan en de procedures zoals deze gaan gelden. Alle meldingen komen eerst binnen bij de CISO. Deze gaat aan de hand van het hiervoor aangegeven schema bepalen wie betrokken moeten worden in het crisisteam. Alle documenten voor het calamiteitenplan worden in 2016 in een map in de crisiskamer/db-kamer opgeslagen. De CISO is verantwoordelijk voor het actueel houden van dit plan. Daarbij wordt ook overleg gepleegd met onze functionaris gegevensbescherming omdat het calamiteitenplan ook moet werken voor privacyincidenten. In 2016 wordt het calamiteitenplan verder uitgewerkt en operationeel gemaakt. Beveiligingsplan Strategische uitgangspunten en randvoorwaarden De strategische uitgangspunten en randvoorwaarden omvatten twee dingen. Allereerst moet worden geïnventariseerd in hoeverre het Waterschap Hunze en Aa s risico s loopt op het gebied van informatiebeveiliging. Dat is uitgezocht door middel van een risico inventarisatie en evaluatie, welke in de beveiligingswereld ook kan worden uitgevoerd als een A&K analyse (afhankelijkheid en kwetsbaarheden analyse). Deze A&K analyse voeren we in 2016 uit. Daarnaast omvat het informatiebeveiligingsbeleid een, voor het Waterschap Hunze en Aa s, geschikte set aan maatregelen die volgen vanuit de Baseline Informatiebeveiliging Waterschappen (BIWA) en vanuit de huidige en toekomstige wet- en regelgeving. Daarbij geldt het principe pas toe of leg uit. Daarmee wordt bedoeld dat een waterschap specifieke maatregel, zoals deze beschreven is in de BIWA, letterlijk moet worden geïmplementeerd in de organisatie. Dat kan worden gedaan met behulp van een beleidsstuk waarin deze letterlijk is opgenomen of een notitie in het informatiebeveiligingsplan waarin aangetoond is dat de maatregel is toegepast, maar wel is aangepast op de organisatie en de cultuur die heerst binnen de organisatie. Het uitleggen dat een specifiek risico wordt geaccepteerd valt daar ook onder. 3

Doel van informatiebeveiligingsbeleid Het doel van informatiebeveiliging is het hebben van een palet aan maatregelen om onze kritieke systemen, informatie en persoonsgegevens te beschermen en een datalek te voorkomen. Per 1 januari 2016 is de Meldplicht datalekken in werking getreden en is Wbp op een aantal punten gewijzigd. De Wbp vereist van de verantwoordelijke (DB) dat deze een passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. Iedere inbreuk op deze beveiliging van persoonsgegevens wordt een datalek genoemd. Een dergelijke inbreuk kan bestaan uit: - Tekortschietende beveiligingsmaatregelen; - Beveiligingsmaatregelen die teniet worden gedaan of worden omzeild; - Niet adequate of niet vakkundig toegepaste beveiliging door de verantwoordelijke zelf; - Menselijke fouten van ondergeschikten van de verantwoordelijken (bijv. verlies van een usbstick). In de gewijzigde Wbp is een meldplicht opgenomen voor datalekken. Een datalek moet worden gemeld bij de AP en de betrokkene(n). Er gelden hiervoor verschillende voorwaarden. Soms kan melding achterwege blijven. Over de mogelijkheid van het opleggen van boetes is hiervoor ingegaan. Daarnaast kan iedereen die als gevolg van het niet-naleven van de Wbp door de verantwoordelijke (DB) schade lijdt, deze schade verhalen op de verantwoordelijke. Cyberincidenten Er is een wetsvoorstel in behandeling bij de Tweede Kamer waarin de verplichting is opgenomen om digitale veiligheidsincidenten vertrouwelijk te melden bij het Nationaal Cyber Security Center (NCSC). Het NCSC is ondergebracht bij de Directie Cyber Security (DCS), onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), en valt onder verantwoordelijkheid van het ministerie van Veiligheid en Justitie. De vertrouwelijke meldplicht moet gaan gelden voor alle organisaties die onderdeel uitmaken van de vitale informatiestructuur. De drinkwaterbedrijven vallen hieronder alsmede Rijkswaterstaat. De meldplicht geldt voor onderdelen van de vitale infrastructuur binnen de sectoren, energie, gas, kernenergie, drinkwater, telecom, transport, financiën en overheid. Informatiebeveiligingseisen en normen De eisen en normen die gelden voor het Waterschap Hunze en Aa s worden voornamelijk in kaart gebracht door de A&K-analyse (afhankelijkheden en kwetsbaarheden). Tevens heeft een risico inventarisatie en evaluatie plaatsgevonden welke is aangevuld met een privacy impact analyse (zie hieronder). Beide instrumenten hebben tot doel gehad om de kritieke processen, systemen en de handelingen van medewerkers in kaart te brengen om te kunnen beoordelen waar op moet worden ingezet in het informatiebeveiligingsplan en beleidsnotities. Frequentie van evaluatie informatiebeveiligingsbeleid Om informatiebeveiligingsbeleid zo effectief mogelijk te laten zijn, moet jaarlijks worden geëvalueerd of het informatiebeveiligingsbeleid nog actueel is. Wanneer dat niet het geval is, moet daar op worden geïnvesteerd. De verantwoordelijke voor de evaluatie is de CISO (Beleidsadviseur informatisering/architect). Deze koppelt zijn bevindingen vanuit de evaluatie terug aan de CSO 4

(teamhoofd ICT). Jaarlijks wordt door de CSO een rapportage opgesteld in samenwerking met de CISO, welke wordt opgenomen in de jaarrapportage van het Waterschap Hunze en Aa s. Bevordering van beveiligingsbewustzijn Om informatiebeveiliging effectief te laten zijn, begint de investering bij de individuele medewerker. Er wordt jaarlijks, in minimaal één sessie, aandacht besteed aan informatiebeveiliging en het beveiligingsbewustzijn van de individuele medewerker in de verschillende afdelingen. Naast het beveiligingsbewustzijn zal ook privacybewustzijn worden meegenomen. Omdat al eerder is afgesproken om een dergelijk traject te doorlopen waar het gaat om het onderwerp integriteit zal ook koppeling met dit onderwerp plaatsvinden. Ten aanzien van informatieveiligheid is de week van Alert Online, een periode van twee weken waarin de overheid veel aandacht besteed aan veiligheid op het internet en de omgang met mobiele media, daarvoor een geschikt moment. De reden daarvoor is dat de overheid in die periode veel campagnemateriaal beschikbaar stelt. Tevens wordt via het intranet aandacht besteed aan informatiebeveiliging. Eén tot twee maal per maand wordt er een klein stukje op het intranet geplaatst over een specifiek onderwerp zoals phishing, veiligheid van een smartphone, etc. Aldus vastgesteld in de vergadering van het dagelijks bestuur op 18 april 2016. Harm Küpers secretaris-directeur Alfred van Hall dijkgraaf 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback